Creare una verifica di accesso di un pacchetto di accesso nella gestione entitlement

Per ridurre il rischio di un accesso non aggiornato, è necessario abilitare verifiche periodiche degli utenti con assegnazioni attive a un pacchetto di accesso nella gestione entitlement. È possibile abilitare le verifiche quando si crea un nuovo pacchetto di accesso o si modificano i criteri di assegnazione dei pacchetti di accesso esistenti. Questo articolo illustra come abilitare le verifiche di accesso dei pacchetti di accesso.

Prerequisiti

L'uso di questa funzionalità richiede licenze di Microsoft Entra ID Governance o Microsoft Entra Suite. Per trovare la licenza appropriata per le proprie esigenze, vedere Fondamenti di licenza di Microsoft Entra ID Governance.

Creare una verifica di accesso per un pacchetto di accesso

È possibile abilitare le verifiche di accesso durante lacreazione di un nuovo pacchetto di accesso o la modifica di un criterio di assegnazione dei pacchetti di accesso esistenti. Se si dispone di più criteri per diverse community di utenti che richiedono l'accesso, è possibile avere pianificazioni di verifiche dell'accesso indipendenti per ogni criterio. Seguire questa procedura per abilitare le verifiche di accesso delle assegnazioni di un pacchetto di accesso:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

2. Passare a Identity Governance>Verifiche di accesso>Pacchetto di accesso.

3. Per creare un nuovo criterio di accesso, selezionare il pacchetto Nuovo accesso.

4. Per modificare un criterio di accesso esistente, nel menu a sinistra selezionare Pacchetti di accesso e aprire il pacchetto di accesso da modificare. Quindi, nel menu a sinistra selezionare Criteri e scegliere i criteri con le impostazioni del ciclo di vita che si desidera modificare.

5. Aprire la scheda Ciclo di vita per un criterio di assegnazione del pacchetto di accesso per specificare quando scade l'assegnazione di un utente al pacchetto di accesso. È anche possibile specificare se gli utenti possono estendere le assegnazioni.

6. Nella sezione Scadenza impostare Scadenza delle assegnazioni dei pacchetti di accesso su In data, Numero di giorni, Numero di ore o Mai.

   In In data selezionare una data di scadenza nel futuro.

   In Numero di giorni specificare un numero compreso tra 0 e 3660 giorni.

   In Numero di ore specificare il numero di ore.

   In base alla selezione, l'assegnazione di un utente al pacchetto di accesso scade in corrispondenza di una determinata data, un numero specifico di giorni dopo l'approvazione o mai.

   

7. Selezionare Mostra impostazioni di scadenza avanzate per visualizzare altre impostazioni.

8. Per consentire all'utente di estendere le assegnazioni, impostare Consenti agli utenti di estendere l'accesso su Sì.

   Se le estensioni sono consentite nel criterio, l'utente riceve un messaggio di posta elettronica 14 giorni e anche un giorno prima della scadenza dell'assegnazione del pacchetto di accesso con la richiesta di estendere l'assegnazione. L'utente deve comunque trovarsi nell'ambito del criterio al momento della richiesta di un'estensione. Inoltre, se il criterio ha una data di fine esplicita per le assegnazioni e un utente invia una richiesta di estensione per estendere l'accesso, la data di estensione nella richiesta deve essere in corrispondenza o anteriore alla scadenza delle assegnazioni, come definito nel criterio usato per concedere all'utente l'accesso al pacchetto di accesso. Ad esempio, se il criterio indica che la scadenza delle assegnazioni è il 30 giugno, la data dell'estensione massima che un utente può richiedere è il 30 giugno.

   Se l'accesso di un utente viene esteso, tale utente non potrà richiedere il pacchetto di accesso dopo la data di estensione specificata (la data impostata nel fuso orario dell'utente che ha creato il criterio).

9. Per richiedere l'approvazione per concedere un'estensione, impostare Richiedi l'approvazione per la concessione dell'estensione su Sì.

   Verranno usate le stesse impostazioni di approvazione specificate nella scheda Richieste.

10. Spostare quindi l’interruttore Richiedi verifiche di accesso su Sì.

    

11. Specificare la data di inizio delle verifiche accanto a Data di inizio.

12. Impostare quindi la frequenza di verifica su Annuale, Semestrale, Trimestrale o Mensile. Questa impostazione determina la frequenza con cui si verificano le verifiche di accesso.

13. Impostare Durata per definire il numero di giorni in cui ogni revisione della serie ricorrente è aperta per l'input dei revisori. Ad esempio, è possibile pianificare una verifica annuale che inizia il 1° gennaio e rimane aperta per la verifica per 30 giorni in modo che i revisori possano rispondere fino alla fine del mese.

14. Accanto a Revisori selezionare Verifica autonoma se si vuole che gli utenti eseguano una verifica di accesso personalizzata o selezionare Revisori specifici se si vuole designare un revisore. È anche possibile selezionare Responsabile se si vuole designare il responsabile del revisore come revisore. Se si seleziona questa opzione, è necessario aggiungere un fallback a cui inoltrare la verifica nel caso in cui il responsabile non venga trovato nel sistema.

15. Se è stata selezionata l’opzione Revisori specifici, è necessario specificare gli utenti che eseguiranno la verifica di accesso:

    

    1. Selezionare Aggiungi revisori.
    2. Nel riquadro Seleziona revisori cercare e selezionare gli utenti che si vuole impostare come revisori.
    3. Dopo aver selezionato i revisori, selezionare il pulsante Seleziona.

    

16. Se è stata selezionata l’opzione Responsabile, è necessario specificare il revisore di fallback:

    1. Selezionare Aggiungi revisori di fallback.
    2. Nel riquadro Seleziona revisori di fallback cercare e selezionare gli utenti che si vuole impostare come revisori di fallback per il responsabile del revisore.
    3. Dopo aver selezionato i revisori di fallback, selezionare il pulsante Seleziona.

    

17. È possibile configurare anche altre impostazioni avanzate. Per configurare altre impostazioni di verifica dell'accesso avanzate, selezionare Mostra impostazioni di verifica dell'accesso avanzate:

    1. Se si vuole specificare cosa accade all'accesso degli utenti quando un revisore non risponde, selezionare Se i revisori non rispondonoe quindi selezionare una delle opzioni seguenti:

       • Nessuna modifica se non si vuole che venga presa una decisione sull'accesso degli utenti.
       • Rimuovi l'accesso se si vuole rimuovere l'accesso degli utenti.
       • Accetta le raccomandazioni se si vuole che venga presa una decisione in base alle raccomandazioni di MyAccess.

       

    2. Per visualizzare le raccomandazioni di sistema, selezionare Mostra supporti per la decisione per i revisori. Le raccomandazioni del sistema sono basate sull'attività degli utenti. I revisori visualizzano una delle raccomandazioni seguenti:

       • Approvare la verifica se l'utente ha eseguito l'accesso almeno una volta negli ultimi 30 giorni.
       • Rifiutare la verifica se l'utente non ha eseguito l'accesso negli ultimi 30 giorni.

    3. Se si vuole che il revisore condivida le motivazioni della decisione di approvazione, selezionare Richiedi motivazione del revisore. La motivazione è visibile ad altri revisori e al richiedente.

18. Selezionare Rivedi e crea o selezionare Avanti se si sta creando un nuovo pacchetto di accesso. Selezionare Aggiorna nella parte inferiore della pagina se si sta modificando un pacchetto di accesso.

Visualizzare lo stato della verifica di accesso

Dopo la data di inizio, la verifica di accesso verrà visualizzata nella sezione Verifiche di accesso. Seguire questa procedura per visualizzare lo stato di una verifica di accesso:

1. In Identity Governanceselezionare Pacchetti di accesso e quindi selezionare il pacchetto di accesso con lo stato di verifica dell'accesso che si vuole controllare.

2. Nella pagina di panoramica del pacchetto di accesso, selezionare Verifiche di accesso nel menu a sinistra.

   

3. Viene visualizzato un elenco che contiene tutti i criteri a cui sono associate verifiche di accesso. Selezionare la verifica per visualizzare il report corrispondente.

   

4. Quando si visualizza il report, viene visualizzato il numero di utenti verificati e le azioni eseguite dal revisore.

   

Notifiche delle verifiche di accesso tramite posta elettronica

È possibile designare i revisori o gli utenti che possono verificare il proprio accesso. Per impostazione predefinita, Microsoft Entra ID invierà un messaggio di posta elettronica ai revisori o ai revisori autonomi poco dopo l'avvio della verifica.

Il messaggio di posta elettronica include istruzioni su come verificare l'accesso ai pacchetti di accesso. Se la verifica prevede che gli utenti verifichino il proprio accesso, mostrare loro le istruzioni su come eseguire una verifica autonoma dei pacchetti di accesso.

Se gli utenti guest sono stati assegnati come revisori e non hanno accettato l'invito guest di Microsoft Entra, non riceveranno messaggi di posta elettronica dalle verifiche di accesso. Devono prima accettare l'invito e creare un account con Microsoft Entra ID per poter ricevere i messaggi di posta elettronica.

Passaggi successivi

• Verificare l'accesso ai pacchetti di accesso
• Verifica autonoma dei pacchetti di accesso